* Re: [Comm] arp blocking
2005-12-08 6:55 [Comm] arp blocking Alexey S. Kuznetsov
@ 2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
2005-12-08 15:08 ` Re[2]: " Alexey S. Kuznetsov
2005-12-08 15:10 ` Alexey S. Kuznetsov
2005-12-08 6:08 ` Pavel Shurubura
1 sibling, 2 replies; 7+ messages in thread
From: Мерзляков Евгений Анатольевич @ 2005-12-08 4:16 UTC (permalink / raw)
To: Alexey S. Kuznetsov, ALT Linux Community; +Cc: community
On Wed, 7 Dec 2005 22:55:54 -0800
"Alexey S. Kuznetsov" <buster@kuznetsov.org.ua> wrote:
> Привет всем!
> А кто-нибудь знает, как без помощи iptables и подобных утилит
> запретить доступ вообще на сервер с определённого MAC-адреса?
>
В iptables для этого используется критерий --mac-source, при этом в конфигурации ядра должен быть включен параметр CONFIG_IP_NF_MATCH_MARK
hj@hj hj $ zcat /proc/config.gz |grep IP_NF_MATCH_MARK
CONFIG_IP_NF_MATCH_MARK=y
--
ПКБ Акустика
Мерзляков Е.А. icq #115657846
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] arp blocking
2005-12-08 6:55 [Comm] arp blocking Alexey S. Kuznetsov
2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
@ 2005-12-08 6:08 ` Pavel Shurubura
1 sibling, 0 replies; 7+ messages in thread
From: Pavel Shurubura @ 2005-12-08 6:08 UTC (permalink / raw)
To: Alexey S. Kuznetsov, ALT Linux Community
On Wed, 7 Dec 2005 22:55:54 -0800
"Alexey S. Kuznetsov" <buster@kuznetsov.org.ua> wrote:
> Привет всем!
> А кто-нибудь знает, как без помощи iptables и подобных
> утилит запретить доступ вообще на сервер с определённого
> MAC-адреса?
>
Можно попробовать создать фиктивную запись в arp-таблице.
К примеру так: arp -s 1.1.1.1 0E:0B:0F:0C:11:2A
--
With kindest regards, pvs.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] arp blocking
2005-12-08 15:10 ` Alexey S. Kuznetsov
@ 2005-12-08 6:11 ` Eugene Prokopiev
2005-12-09 8:23 ` Pavel Shurubura
0 siblings, 1 reply; 7+ messages in thread
From: Eugene Prokopiev @ 2005-12-08 6:11 UTC (permalink / raw)
To: ALT Linux Community
Alexey S. Kuznetsov пишет:
> Hello!
>
> та блин....почему теперь, когда я щёлкаю на reply у меня письма уходят
> к автору письна, а не в рассылку?
> В общем это не подходит для блокирования маков, ещё есть варианты?
можете попробовать ebtables на ядре 2.6
но боюсь, что эта задача в общем случае неразрешима:
1) MAC можно сменить (как средствами ifconfig, так и средствами ebtables
- там даже по аналогии с NAT есть MAT :) )
2) я не уверен, что в пакете, пришедшем из-за маршрутизатора остался мак
отправителя, т.к. маки - это несколько более низкий уровень. Но здесь я
могу ошибаться - пусть специалисты поправят.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] arp blocking
@ 2005-12-08 6:55 Alexey S. Kuznetsov
2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
2005-12-08 6:08 ` Pavel Shurubura
0 siblings, 2 replies; 7+ messages in thread
From: Alexey S. Kuznetsov @ 2005-12-08 6:55 UTC (permalink / raw)
To: community
Привет всем!
А кто-нибудь знает, как без помощи iptables и подобных утилит
запретить доступ вообще на сервер с определённого MAC-адреса?
--
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re[2]: [Comm] arp blocking
2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
@ 2005-12-08 15:08 ` Alexey S. Kuznetsov
2005-12-08 15:10 ` Alexey S. Kuznetsov
1 sibling, 0 replies; 7+ messages in thread
From: Alexey S. Kuznetsov @ 2005-12-08 15:08 UTC (permalink / raw)
To: Мерзляков
Евгений
Анатольевич,
community
Hello!
Wednesday, December 7, 2005, 8:16:56 PM, you wrote:
> On Wed, 7 Dec 2005 22:55:54 -0800
> "Alexey S. Kuznetsov" <buster@kuznetsov.org.ua> wrote:
>> Привет всем!
>> А кто-нибудь знает, как без помощи iptables и подобных утилит
>> запретить доступ вообще на сервер с определённого MAC-адреса?
>>
> В iptables для этого используется критерий --mac-source, при этом в
> конфигурации ядра должен быть включен параметр CONFIG_IP_NF_MATCH_MARK
> hj@hj hj $ zcat /proc/config.gz |grep IP_NF_MATCH_MARK
> CONFIG_IP_NF_MATCH_MARK=y
--
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re[2]: [Comm] arp blocking
2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
2005-12-08 15:08 ` Re[2]: " Alexey S. Kuznetsov
@ 2005-12-08 15:10 ` Alexey S. Kuznetsov
2005-12-08 6:11 ` Eugene Prokopiev
1 sibling, 1 reply; 7+ messages in thread
From: Alexey S. Kuznetsov @ 2005-12-08 15:10 UTC (permalink / raw)
To: Мерзляков
Евгений
Анатольевич,
community
Hello!
та блин....почему теперь, когда я щёлкаю на reply у меня письма уходят
к автору письна, а не в рассылку?
В общем это не подходит для блокирования маков, ещё есть варианты?
Wednesday, December 7, 2005, 8:16:56 PM, you wrote:
> On Wed, 7 Dec 2005 22:55:54 -0800
> "Alexey S. Kuznetsov" <buster@kuznetsov.org.ua> wrote:
>> Привет всем!
>> А кто-нибудь знает, как без помощи iptables и подобных утилит
>> запретить доступ вообще на сервер с определённого MAC-адреса?
>>
> В iptables для этого используется критерий --mac-source, при этом в
> конфигурации ядра должен быть включен параметр CONFIG_IP_NF_MATCH_MARK
> hj@hj hj $ zcat /proc/config.gz |grep IP_NF_MATCH_MARK
> CONFIG_IP_NF_MATCH_MARK=y
--
Sincerely,
Alexey S. Kuznetsov
AK2351-RIPE
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] arp blocking
2005-12-08 6:11 ` Eugene Prokopiev
@ 2005-12-09 8:23 ` Pavel Shurubura
0 siblings, 0 replies; 7+ messages in thread
From: Pavel Shurubura @ 2005-12-09 8:23 UTC (permalink / raw)
To: ALT Linux Community
On Thu, 08 Dec 2005 09:11:30 +0300
Eugene Prokopiev <prokopiev@stc.donpac.ru> wrote:
>
> 2) я не уверен, что в пакете, пришедшем из-за маршрутизатора
> остался мак отправителя, т.к. маки - это несколько более
> низкий уровень. Но здесь я могу ошибаться - пусть специалисты
> поправят.
>
Всё правильно. В пакете пришедшем из-за маршрутизатора будет
стоять MAC-адрес этого маршрутизатора.
--
With kindest regards, pvs.
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2005-12-09 8:23 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-12-08 6:55 [Comm] arp blocking Alexey S. Kuznetsov
2005-12-08 4:16 ` Мерзляков Евгений Анатольевич
2005-12-08 15:08 ` Re[2]: " Alexey S. Kuznetsov
2005-12-08 15:10 ` Alexey S. Kuznetsov
2005-12-08 6:11 ` Eugene Prokopiev
2005-12-09 8:23 ` Pavel Shurubura
2005-12-08 6:08 ` Pavel Shurubura
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git